偷5000多万客户个资 21岁骇客笑T-Mobile防护太烂

WendyWu

在美国出生的21岁骇客宾斯（John Binns）偷走T-Mobile5000多万客户个资后，告诉华尔街日报说，T-Mobile的安全系统太烂了，他只利用一个简单的工具，就突破了这家号称有9000万手机用户的无线网路公司的路由器。

宾斯几年前搬到土耳其，2017年起就用假名和华尔街日报联络，告诉该报他如何闯入T-Mobile的网路系统；今年7月，他发现T-Mobile有个路由器根本毫无防护；他发现这个弱点后，运用「民众容易取得」的简单工具，顺着这个路由器，进入了T-Mobile位于华盛顿州的伺服器中心，扫描T-Mobile公开的网址，找到突破点。

宾斯说：「我就是这次事件的『兇手』，但T-Mobile的资安意识太薄弱，才让这起攻击发生。」

他说，做这件事是为了引人注意；他告诉华尔街日报，「制造噪音就是我的目的」。

他没说明是否把窃取到的个资出售了，也没透露是否受雇于其他人。

宾斯进入T-Mobile位于华盛顿州东温纳契市郊外的资料中心，从100多个伺服器尽情浏览用户的电话号码、姓名、地址等资料；他在和华尔街日报的对话纪录中说，「他们的安全系统实在差劲。」

他花了大约一周时间，骇进储存T-Mobile数千万现在和过去客户的伺服器，8月4日大量偷走这些资料。

8月13日，网路安全顾问公司Unit221B通知T-Mobile网路上有人在卖T-Mobile的客户资料。

T-Mobile发言人对宾斯所言或Unit221B的报告，均不予置评。

华尔街日报说，无法确定宾斯是否是独行大盗，但在受访过程曾透露「与人合力」寻找登入T-Mobile资料中心的帐户名称及密码等，而在网路上想卖T-Mobile被窃个资的人，似乎另有他人。

宾斯说，他在维吉尼亚州北部由土耳其裔的妈妈带大，爸爸在他两岁时就过世了；维州一所高中有他2015年和2016年的就学纪录；18岁后，因为和父亲那边的亲戚疏远，与妈妈一起搬到土耳其伊兹米尔(Izmir)。

网路安全研究员说，好几个与宾斯有关的网路帐号，和一群全球捣蛋的年轻电玩家也有关联；网路电玩家常用botnets(已经中毒的机器人网路)切断个人上网的路径，让用户不能上网，也让网站停摆。